Foro ComplianceLatam
Chile | Confidencialidad en investigaciones por acoso laboral: el nuevo estándar en protección de datos

Chile | Confidencialidad en investigaciones por acoso laboral: el nuevo estándar en protección de datos

12-05-2026 | Albagli Zaliasnik, Noticias

Aun cuando exista habilitación legal para tratar datos personales en investigaciones por acoso laboral, el empleador debe cumplir estrictamente con los principios de confidencialidad y seguridad.

El pasado 25 de febrero de 2025, la Agencia Española de Protección de Datos (AEPD) inició un procedimiento sancionatorio en contra de una empresa, luego de recibir dos reclamaciones por parte de trabajadores que indicaban que esta había revelado su identidad como denunciante y denunciado en un proceso de acoso laboral, divulgando sus nombres y apellidos.

En efecto, el origen de este conflicto se dio a raíz de una denuncia por acoso laboral que presentaron cinco trabajadores en contra de 10 denunciados, a propósito de la cual la empresa decidió abrir la respectiva investigación interna.

De este modo, el 31 de julio de 2024 dicho empleador envió un correo electrónico al Comité de Empresa informando que daba por finalizada la investigación, adjuntando la respectiva resolución a cada una de las cinco personas denunciantes y a los 10 denunciados, revelando así la identidad de cada uno de ellos y exponiendo sus nombres, apellidos y puestos de trabajo.

Por esta razón, la parte reclamante sostenía que, en definitiva, todo el centro de trabajo sabía que era una de las denunciantes y, asimismo, que conocía a todos los denunciados, siendo que ella no había autorizado que se divulgara su identidad, lo que generó que uno de los denunciados publicara en un grupo de trabajo de WhatsApp (el mismo día del conocimiento de la resolución), un emoji de beso junto con la frase: “Gracias por la denuncia”.

Por su parte, la empresa —al plantear su defensa—, sostuvo, fundamentalmente, que no era posible apreciar una infracción a la Ley de Datos Personales, ya que todos los interesados estaban al tanto de todas las identidades de los afectados desde el principio y, además, dado que la denuncia que dio origen al procedimiento interno de investigación por acoso había sido planteada ante el Comité de Empresasin invocarse el derecho al anonimato de los denunciantes, ni tampoco haber sido solicitado por ellos.

De esta forma, la AEPD centró el análisis no en la licitud de la investigación interna en sí misma, sino en la forma en que la empresa comunicó el cierre del procedimiento.

En particular, estimó que existían indicios suficientes de una vulneración del principio de integridad y confidencialidad, debido a que la empresa permitió que denunciantes y denunciados accedieran a la identidad de todos los intervinientes en el procedimiento, exponiendo información especialmente sensible en el contexto de una denuncia por acoso laboral.

Así, el problema jurídico del caso no radicó en la procedencia de tramitar la denuncia, sino en la falta de resguardo de la confidencialidad de quienes participaron en ella.

Sobre lo anterior, termina proponiendo —atendida la gravedad de la posible infracción y el nivel de negligencia del empleador—, la imposición de una multa administrativa, efectiva, proporcional y disuasoria ascendente a €200.000, además de la adopción de medidas correctivas, si proceden (en este caso, que la empresa adopte, en un plazo de tres meses, las medidas adecuadas para garantizar la confidencialidad de los datos personales).

Finalmente, es del caso señalar que, ante la decisión de iniciar un procedimiento sancionatorio que, adoptado por la AEPD, la empresa optó por asumir su responsabilidad, ello con el propósito de reducir la cuantía de la multa impuesta, pagando en definitiva la suma de €120.000.

Así las cosas, este caso resulta especialmente interesante como referencia comparada desde la experiencia española, más aún considerando que a partir del próximo 1 de diciembre de 2026 entrará en vigencia en nuestro país la Ley N° 21.719, que regula la protección y el tratamiento de datos personales y crea la Agencia de Protección de Datos Personales, autoridad que cumplirá un rol equivalente al que actualmente ejerce la AEPD en España.

En ese contexto, se trata de un caso plenamente extrapolable a Chile, particularmente en el marco de la Ley Karin, pues aun cuando exista una habilitación legal para tratar datos personales en el curso de investigaciones por acoso laboral, ello no releva al empleador del deber de cumplir estrictamente con los principios de confidencialidad y seguridad que rigen todo tratamiento de datos.

De ello se sigue que la sola existencia de una base normativa que permita investigar no basta por sí sola, sino que también resulta indispensable contar con políticas internas claras, canales de denuncia seguros, protocolos de acceso restringido y resguardos efectivos que eviten la exposición indebida de información especialmente sensible.

Si necesitas más información, escríbenos a contacto@compliancelatam.legal.

Opinión | Protección de Datos en 2026: el desafío de alinear cumplimiento legal y tecnología

Opinión | Protección de Datos en 2026: el desafío de alinear cumplimiento legal y tecnología

27-04-2026 | Albagli Zaliasnik, Opinión

La entrada en vigencia de la nueva Ley de Protección de Datos Personales en Chile marcará un cambio relevante en la forma en que las empresas gestionan la información. Sin embargo, más allá de los ajustes regulatorios que introduce la norma, el verdadero desafío para las organizaciones durante 2026 será otro: lograr que el cumplimiento legal y la implementación tecnológica avancen de manera coordinada.

Por Antonia Nudman, Asociada Senior de az Tech; y Yoab Bitrán, Director del Grupo Compliance de Albagli Zaliasnik

En muchas compañías, los proyectos de cumplimiento normativo suelen abordarse principalmente desde las áreas legales o de compliance. Esto es comprensible: son estas áreas las que interpretan la normativa, definen obligaciones y elaboran políticas internas. Sin embargo, en materia de protección de datos, ese enfoque resulta incompleto si no se articula de forma estrecha con las áreas tecnológicas.

La razón es simple. Mientras el área legal define qué exige la ley —por ejemplo, principios de tratamiento, bases de licitud, deberes de información o medidas de seguridad—, son las áreas de tecnología las que deben traducir esas exigencias en prácticas concretas dentro de los sistemas, plataformas y procesos de la organización. En otras palabras, el cumplimiento jurídico requiere necesariamente una implementación técnica para hacerse efectivo.

Esto se vuelve particularmente evidente en aspectos como la gestión de accesos a bases de datos, la trazabilidad de los tratamientos, la implementación de medidas de seguridad, la gestión de incidentes o la eliminación segura de información. Todos estos elementos forman parte del cumplimiento normativo, pero su ejecución depende en gran medida de la arquitectura tecnológica de la empresa.

Por ello, uno de los principales desafíos para las organizaciones en este nuevo escenario será construir puentes entre ambos mundos. El cumplimiento en protección de datos no puede ser únicamente un ejercicio documental ni tampoco exclusivamente tecnológico: requiere una coordinación permanente entre quienes interpretan la norma y quienes diseñan e implementan los sistemas.

En este contexto, el rol del asesor también evoluciona. Ya no basta con entregar una interpretación jurídica de la ley o con elaborar políticas y documentos de cumplimiento. La implementación efectiva exige abordar el proceso desde ambas dimensiones: la normativa y la técnica. En ese sentido, el asesor debe contar con una sólida mirada legal y, deseablemente, también con conocimientos en seguridad de la información que le permitan dialogar con los equipos tecnológicos de la organización. Solo así es posible acompañar adecuadamente el proceso de implementación, abordándolo tanto desde la lógica normativa (la teoría) como desde la realidad operativa de los sistemas (la práctica).

Precisamente por lo anterior, es cada vez más común que los equipos de asesoría externa incorporen perfiles interdisciplinarios, sumando ingenieros o especialistas en seguridad de la información que permitan abordar la implementación desde una perspectiva integral y faciliten la coordinación entre las áreas legales y tecnológicas de las organizaciones.

En definitiva, la nueva regulación plantea un desafío que es tanto organizacional como técnico. Aquellas empresas que logren integrar adecuadamente el trabajo de sus áreas legales y tecnológicas no solo estarán mejor preparadas para cumplir con la ley, sino también para gestionar de manera responsable uno de los recursos más sensibles de la economía digital: la información personal de las personas.

Antonia Nudman, Asociada Senior de az Tech; y Yoab Bitran, Director del Grupo Compliance en Albagli Zaliasnik

 

Fuente: Revista Gerencia – marzo 2026.

Si tienes consultas, escríbenos a contacto@compliancelatam.legal.com.